Организация работы по обеспечению информационной безопасности в Челябинском областном фонде обязательного медицинского страхования

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Организатор защищенного информационного обмена - Челябинский областной фонд обязательного медицинского страхования (далее ЧОФОМС).

Участник защищенного информационного обмена (Участник) - юридическое лицо, присоединившееся к защищенному информационному обмену, путем заключения с Организатором защищенного информационного обмена договора «О присоединении к защищенному информационному обмену в защищенном сегменте единого информационного пространства системы обязательного медицинского страхован ия Челябинской области».

ПЭВМ - персональная электронно-вычислительная машина (персональный компьютер).

1.2. Остальные термины и определения, используемые в настоящей Инструкции, должны пониматься в соответствии с законодательством Российской Федерации и регламентом УЦ ЧОФОМС.

II. Общие положения

2.1. Настоящая Инструкция определяет порядок учета, хранения и использования СКЗИ и криптографических ключей, а также порядок уничтожения и компрометации криптографических ключей в целях обеспечения безопасности эксплуатации СКЗИ в ЗИО.

2.2 Настоящая Инструкция разработана на основе законодательства Российской Федерации, иных правовых актов, а также:

- Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ России от 9 февраля 2005 г. № 66;

- Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13 июня 2001 г. № 152.

2.3. Участник с учетом особенностей своей деятельности может разрабатывать не противоречащие настоящей инструкции организационно-распорядительные и методические документы, уточняющие порядок работы с СКЗИ и криптографическими ключами.

2.4. В ЗИО используются сертифицированные ФСБ России СКЗИ, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, при обеспечении безопасности информации по уровню «КС1».

2.5. Для организации и обеспечения работ по техническому обслуживанию СКЗИ и управления криптографическими ключами Организатором защищенного информационного обмена и Участниками создается орган криптографической защиты информации либо назначается Ответственный за эксплуатацию СКЗИ Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФСБ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо..

Ответственный за эксплуатацию СКЗИ осуществляет:

- поэкземплярный учет предоставленных Участнику СКЗИ, эксплуатационной и технической документации к ним;

- учет Пользователей СКЗИ Участника ЗИО;

- контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией на СКЗИ и настоящей Инструкцией;

- расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению требуемого уровня безопасности информации;

- разработку и принятие мер по предотвращению возможных негативных последствий подобных нарушений.

2.6. Пользователи СКЗИ назначаются приказом руководителя Участника ЗИО в соответствии с Регламентом УЦ ЧОФОМС.

Пользователь СКЗИ обязан:

- не разглашать конфиденциальную информацию, к которой допущен, рубежи ее защиты, в том числе сведения о криптографических ключах;

- соблюдать требования к обеспечению безопасности конфиденциальной информации при использовании СКЗИ;

- сдать СКЗИ, эксплуатационную и техническую документацию к ним,

- криптографические ключи в соответствии с порядком, установленным настоящей Инструкцией, при прекращении использования СКЗИ;

- незамедлительно уведомлять Ответственного за эксплуатацию СКЗИ о фактах утраты или недостачи СКЗИ, криптографических ключей, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.

2.7. Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения.

Обучение Пользователей правилам работы с СКЗИ осуществляет Ответственный за эксплуатацию СКЗИ. Ответственный за эксплуатацию СКЗИ должен иметь соответствующий документ о квалификации в области эксплуатации СКЗИ.

2.8. Текущий контроль, обеспечение функционирования и безопасности СКЗИ возлагается на Ответственного за эксплуатацию СКЗИ.

2.9. Ответственный за эксплуатацию СКЗИ и Пользователи Участника ЗИО должны быть ознакомлены с настоящей Инструкцией под расписку.

III. Учет и хранение СКЗИ и криптографических ключей

3.1. СКЗИ, эксплуатационная и техническая документация к ним, криптографические ключи подлежат поэкземплярному учету.

3.2. Поэкземплярный учет ведет Ответственный за эксплуатацию СКЗИ Участника ЗИО в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал), форма которого приведена в Приложении №1 к настоящей Инструкции. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатная эксплуатация. Если аппаратные или аппаратно-программные СКЗИ подключаются к системной шине или к одному из внутренних интерфейсов аппаратных средств, то такие СКЗИ учитываются также совместно с соответствующими аппаратными средствами.

3.3. Единицей поэкземплярного учета криптографических ключей считается отчуждаемый ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптографических ключей, то его каждый раз следует регистрировать отдельно.

3.4. Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, криптографических ключей должны быть выданы под расписку в Журнале Пользователям СКЗИ, несущим персональную ответственность за их сохранность.

3.5. Дистрибутивы СКЗИ на магнитных носителях, эксплуатационная и техническая документация к СКЗИ хранятся у Ответственного за эксплуатацию СКЗИ.

Криптографические ключи хранятся у Пользователей СКЗИ. Хранение осуществляется в шкафах (ящиках, хранилищах, сейфах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

3.6. Пользователи СКЗИ могут осуществлять хранение рабочих и резервных криптографических ключей, предназначенных для применения в случае неработоспособности рабочих криптографических ключей. Резервные криптографические ключи могут также находится на хранении у Ответственного за эксплуатацию СКЗИ.

3.7. На ключевые носители с изготовленными криптографическими ключами наклеиваются наклейки, содержащие надписи: - на один ключевой носитель - «Рабочие криптографические ключи»; на другой ключевой носитель - «Резервные криптографические ключи».

3.8. Ключевой носитель с наклейкой «Резервные криптографические ключи» помещается в конверт и опечатывается Пользователем и Ответственным за эксплуатацию СКЗИ.

3.9. Полученные рабочие и резервные криптографические ключи Пользователь обязан учесть в Описи криптографических ключей Пользователя СКЗИ (Приложение № 2 к настоящей Инструкции). Резервные криптографические ключи могут находиться на хранении у Ответственного за эксплуатацию СКЗИ.

3.10. Ключевые носители с неработоспособными криптографическими ключами Ответственный за эксплуатацию СКЗИ принимает от Пользователя под роспись в Описи криптографических ключей Пользователя СКЗИ и в Журнале поэкземплярного учета. Неработоспособные ключевые носители подлежат уничтожению.

3.11. При необходимости замены наклейки на ключевом носителе (стирание надписи реквизитов) Пользователь передает его Ответственному за эксплуатацию СКЗИ, который в присутствии Пользователя снимает старую наклейку и приклеивает новую наклейку с такими же учетными реквизитами.

3.12. Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.

3.13. СКЗИ и криптографические ключи могут доставляться Участнику ЗИО специальной (фельдъегерской) связью или курьером Участника ЗИО, имеющего доверенность, подписанную руководителем Участника ЗИО, на право получения СКЗИ, при соблюдении мер, исключающих бесконтрольный доступ к СКЗИ и криптографическим ключам во время доставки.

3.14. Для пересылки СКЗИ и криптографические ключи помещаются в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. Криптографические ключи пересылают в отдельном пакете с пометкой «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.

3.15. Для пересылки СКЗИ, эксплуатационной и технической документации к ним, криптографических ключей составляется Акт приема-передачи (Опись) документов, в котором указывается: что посылается и в каком количестве, учетные номера СКЗИ, криптографических ключей или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Акт приема-передачи (Опись) документов вкладывается в упаковку.

3.16. Полученную Участником ЗИО упаковку вскрывает только лицо, для которого она предназначена. Если содержимое полученной упаковки не соответствует указанному в Акте приема-передачи (Описи) документов или сама упаковка и печать их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то Участник ЗИО должен составить акт, который высылается в УЦ ЧОФОМС. Полученные с такими отправлениями СКЗИ и криптографические ключи до получения указаний от УЦ ЧОФОМС применять не разрешается.

3.17. При обнаружении бракованных криптографических ключей, ключевой носитель с такими ключами следует возвратить в УЦ ЧОФОМС для установления причин происшедшего и их устранения в дальнейшем. УЦ ЧОФОМС в этом случае направляет Участнику ЗИО новые криптографические ключи.

3.18. Ключевые носители совместно с Описью криптографических ключей должны храниться Пользователем в сейфе (металлическом шкафу) в отдельной ячейке.

3.19. При отсутствии у Пользователя СКЗИ сейфа (металлического шкафа) ключевые носители в опечатанном тубусе по окончании рабочего дня должны сдаваться назначенному работнику Участника ЗИО по Реестру передачи криптографических ключей.

IV. Использование СКЗИ и криптографических ключей

4.1. В ЗИО СКЗИ и криптографические ключи используются для обеспечения конфиденциальности, авторства и целостности защищенной информации.

4.2. Конфиденциальность ЗИО обеспечивается путем шифрования. Авторство и целостность информации обеспечивается путем создания ЭЦП Пользователя.

4.3. Информация может быть подписана ЭЦП с использованием только того закрытого ключа ЭЦП, для которого УЦ соответствующей сети выдал сертификат ключа подписи Пользователя с областью действия.

4.4. Для зашифрования информации Пользователь использует свой собственный закрытый криптографический ключ и открытый криптографический ключ, соответствующий действующему закрытому криптографическому ключу получателя информации.

4.5. Открытый криптографический ключ содержится в сертификате ключа подписи, который выдает УЦ соответствующей сети Пользователю в электронной форме и на бумажном носителе.

4.6. Проверка подлинности ЭЦП осуществляется Пользователем с использованием открытого криптографического ключа отправителя информации.

4.7. Расшифрование информации осуществляется с использованием закрытого криптографического ключа Пользователя и открытого криптографического ключа отправителя информации.

4.8. Пользователь не может подписать информацию своей ЭЦП или выполнить его зашифрование, если истек срок действия закрытых криптографических ключей. Также Пользователь не может проверить ЭЦП или произвести расшифрование в случае истечения срока действия сертификата ключа подписи, необходимого для выполнения соответствующей операции.

4.9. Реализованные в СКЗИ алгоритмы шифрования и электронной цифровой подписи гарантируют невозможность восстановления закрытых криптографических ключей отправителя по его открытым ключам.

4.10. Для обеспечения контроля доступа к СКЗИ системный блок ПЭВМ опечатывается Ответственным за эксплуатацию СКЗИ. Системный блок ПЭВМ может устанавливаться в специальном опечатываемом шкафу.

4.11. Пользователь должен периодически (ежедневно) проверять сохранность оборудования и целостность печатей на ПЭВМ. В случае обнаружения «посторонних» (не зарегистрированных) программ или выявления факта повреждения печати на системном блоке ПЭВМ работа должна быть прекращена. По данному факту проводится служебное расследование, и осуществляются работы по анализу и ликвидации последствий данного нарушения.

4.12. При выявлении сбоев или отказов Пользователь обязан сообщить о факте их возникновения Ответственному за эксплуатацию СКЗИ и предоставить ему носители криптографических ключей для проверки их работоспособности. Проверку работоспособности носителей криптографических ключей Ответственный за эксплуатацию СКЗИ выполняет в присутствии Пользователя.

4.13. В случае, если рабочие криптографические ключи потеряли работоспособность, то по просьбе Пользователя Ответственный за эксплуатацию СКЗИ, вскрывает конверт с резервными криптографическими ключами, делает копию ключевого носителя, используя резервные криптографические ключи, помещает резервные криптографические ключи в конверт, а на новый ключевой носитель наклеивает наклейку с надписью «Рабочие криптографические ключи».

4.14. В экстренных случаях, не терпящих отлагательства, вскрытие конверта с резервными криптографическими ключами может осуществляться Пользователем самостоятельно с последующим уведомлением Ответственного за эксплуатацию СКЗИ о факте вскрытия конверта с криптографическими ключами. На конверте делается запись о вскрытии с указанием даты и времени вскрытия конверта и подписью Пользователя. Вскрытый конверт вместе с неработоспособными криптографическими ключами сдаются Ответственному за эксплуатацию СКЗИ.

4.15. Вскрытие системного блока ПЭВМ, на котором установлено СКЗИ, для проведения ремонта или технического обслуживания должно осуществляться в присутствии Ответственного за эксплуатацию СКЗИ.

4.16. Пользователю ЗАПРЕЩАЕТСЯ:

- осуществлять несанкционированное копирование криптографических ключей;

- использовать ключевые носители для работы на других рабочих местах или для шифрования и подписи информации, не относящейся к работе в ЗИО;

- разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;

- вставлять носители криптографических ключей в устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других ПЭВМ;

- записывать на носители с криптографическими ключами постороннюю информацию;

- подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные в комплектации;

- работать на ПЭВМ, если во время ее начальной загрузки не проходят встроенные тесты, предусмотренные в ПЭВМ;

- вносить какие-либо изменения в программное обеспечение СКЗИ;

- использовать бывшие в работе ключевые носители для записи новых криптографических ключей.

V. Уничтожение криптографических ключей

5.1. Неиспользованные или выведенные из действия криптографические ключи подлежат уничтожению.

5.2. Уничтожение криптографических ключей на ключевых носителях производится комиссией в составе председателя и членов комиссии, назначенной руководителем Участника ЗИО.

5.3. Криптографические ключи, находящиеся на ключевых носителях, уничтожаются путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на СКЗИ.

5.4. При уничтожении криптографических ключей, находящихся на ключевых носителях, комиссия обязана:

- установить наличие оригинала и количество копий криптографических ключей;

- проверить внешним осмотром целостность каждого ключевого носителя;

- установить наличие на оригинале и всех копиях ключевых носителей реквизитов путем сверки с записями в Журнале поэкземплярного учета;

- убедится, что криптографические ключи, находящиеся на ключевых носителях, действительно подлежат уничтожению;

- произвести уничтожение ключевой информации на оригинале и на всех копиях носителей.

5.5. О факте уничтожения криптографических ключей составляется Акт об уничтожении криптографических ключей, содержащихся на ключевых носителях (Приложение № 3 к настоящей Инструкции).

5.6. Акт об - уничтожении криптографических ключей, содержащихся на ключевых носителях (далее Акт), подписывается председателем комиссии, членами комиссии и утверждается руководителем Участника ЗИО.

5.7. Журнале поэкземплярного учета Ответственным за эксплуатацию СКЗИ производится отметка об уничтожении криптографических ключей с указанием даты и номера Акта.

5.8. Акты об уничтожении криптографических ключей, содержащихся на ключевых носителях, хранятся у Ответственного за эксплуатацию СКЗИ Участника ЗИО.

VI. Организация режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи

6.1. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи (далее - режимные помещения), должны обеспечивать сохранность СКЗИ и криптографических ключей.

6.2. При обустройстве режимных помещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.

6.3. Режимные помещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ.

Помещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в режимные помещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в режимные помещения.

6.4. Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также визуальное наблюдение посторонними лицами за проведением работ в помещении.

6.5. Режим охраны помещений, в том числе правила допуска работников и посетителей в рабочее и нерабочее время, устанавливает Участник ЗИО. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции.

6.6. Двери режимных помещений должны быть постоянно закрыты на замок и могут открываться только для санкционированного прохода работников и посетителей. Ключи от входных дверей нумеруют, учитывают и выдают работникам, имеющим право допуска в режимные помещения, под

расписку в журнале учета хранилищ. Дубликаты ключей от входных дверей таких помещений следует хранить в специальном сейфе.

6.7. Для предотвращения просмотра извне режимных помещений их окна должны быть защищены.

6.8. Режимные помещения, как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания или дежурным Участника ЗИО. Исправность сигнализации периодически необходимо проверять с отметкой в соответствующих журналах.

6.9. Для хранения криптографических ключей, эксплуатационной и технической документации, дистрибутивов СКЗИ должно быть предусмотрено необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у Ответственного за эксплуатацию СКЗИ или Пользователя, ответственного за хранилище. Дубликаты ключей от хранилищ сотрудники хранят в специальном сейфе. Дубликат ключа от хранилища Ответственного за эксплуатацию СКЗИ в опечатанной упаковке должен быть передан на хранение должностному лицу, назначенному Участником ЗИО.

6.10. По окончании рабочего дня режимное помещение и установленные в нем хранилища должны быть закрыты, хранилища опечатаны. Печати, предназначенные для опечатывания хранилищ, должны находиться у Пользователей, ответственных за эти хранилища.

6.11. В обычных условиях режимные помещения и находящиеся в них опечатанные хранилища могут быть вскрыты только Пользователями или Ответственным за эксплуатацию СКЗИ.

6.12. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено Ответственному за эксплуатацию СКЗИ.

Ответственный за эксплуатацию СКЗИ должен оценить возможность компрометации хранящихся криптографических ключей, составить акт и принять, при необходимости, меры к локализации последствий компрометации криптографических ключей и к их замене.

6.13. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в режимных помещениях должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптографических ключей осуществляются только в отсутствие лиц, не допущенных к работе с данными СКЗИ.

6.14. На время отсутствия Пользователей, необходимое оборудование при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с Ответственным за эксплуатацию СКЗИ необходимо предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в отсутствие Пользователей.

VII. Ответственность

7.1. Владелец ключа несет персональную ответственность за конфиденциальность личных ключевых носителей.

7.2. В случае неисполнения или ненадлежащего выполнения требований настоящей Инструкции Пользователь ключа может быть привлечен к дисциплинарной и/или административной ответственности в соответствии с действующим Законодательством Российской Федерации.

1. Размещено на www.allbest.ru